12023年度法学CSSCI期刊个人信息保护研究概述
(一)期刊选取标准说明
(二)论文选取标准说明
本报告的综述对象仅限于传统意义上的规范化的、程式化的学术论文,不包含书评、时评、短评、热评、会议综述、主持人语、栏目介绍语、卷首语等内容。
经人工查询、检索、筛选各期刊目录,法学CSSCI期刊涉及个人信息的论文共76篇,法学CSSCI扩展版期刊涉及个人信息的论文共41篇,合计共117篇。本综述参照《个人信息保护法》的篇章体例,并按照各篇文献研究主题之间的逻辑关系,分为基础原理篇、信息处理篇、跨境流通篇、权利保护篇、法律责任篇五篇进行分析、梳理和综述。
(三)论文数据简要分析
22023年度法学CSSCI期刊个人信息性质与保护的边界研究
《个人信息保护法》第一章“总则”重点回答“个人信息是什么”以及“个人信息保护是什么”两个问题。
(一)个人信息是什么
《民法典》未明确规定“个人信息权”,加之作为个人信息保护领域专门立法的《个人信息保护法》在具体法律规范中同时使用“权益”和“权利”的表述,使得关于个人信息权利(益)问题的争论在学术界和实务界争论不休,而且观点对立、针锋相对。
首先,关于个人信息权益的性质和内容。有学者认为“个人信息权益属于民事权益中的人格权益而非权益的集合,个人在个人信息处理活动中的权利属于个人信息权益的权能”。因此,其将个人信息的权能划分为基础性权能和工具性权能,前者包括“知情权与决定权”,后者包括“查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等”。[4]但也有学者以“个人信息处理与否”为界限将个人信息权益区分为“绝对权”和“相对权”的二元构造。[5]还有学者则将个人信息权的内容性权利区分为“决定他人是否有处理权限的利用性权利、他人没有处理权限时的防御性权利和他人有合法权限时的权利”,以此将个人信息权利体系划分为“指向个人信息初次分配秩序的个人信息决定权和指向个人信息交换处理秩序的知情权、携带权”。[6]与前述观点均不相同,有学者认为,如果在明确共同的最高法即《宪法》的基础上,《个人信息保护法》公私交融并进的权利救济制度能够畅通无阻,“‘个人信息保护’在民法上到底是权利还是利益,就并不必须做出清晰决然的界定”。[7]
此外,也有学者从法律实证的角度将《个人信息保护法》第四章所确立的多项个人信息保护权归属为“强化治理体系结构中的机制内涵”,而非“基础法益”,因而将其归入(人格权)请求权的范畴。[8]于是,便有学者从“人格尊严和人的自主性、权利与权益区分的三重标准和信息的权利客体属性”以及司法实践的经验总结等要点出发将个人信息权证成为(新兴)人格权,从而最终建议明确“个人信息权的具体人格权地位”。[9]与将个人信息权归属为民事权利不同,还有学者将个人信息权定位为“新兴(型)人权”,以“使我们更深刻认识到科技新时代可能带给我们的难以预料的危险和风险”。[10]
当然,除了个人信息权益本身的独特内容,对个人信息权益是否包含经济利益即财产价值以及如何实现其经济利益或财产价值的讨论也属于争论的热点。有学者认为,“个人信息权益保护的核心利益是精神利益,但也可以许可他人对其个人信息进行商业化利用而获得相应的经济利益。”[11]也有学者认为,“个人信息在数字经济背景下不仅关涉个人人格,而且天然内含财产价值”,因此,需要“借助对基于意志自由的权利关系结构的解剖,将宪法上以知情权和决定权为核心的基本权利穿透拆分为私法上不同信息利用场景下四种具体的行权模式”来实现个人信息财产价值的外化。[12]还有学者认为,要在数据流通的语境下来理解个人信息的财产利益,并且尝试“从个人信息保护的后端”找到其实现的突破口。也就是说,“同意撤回权、删除权、可携带权等后端权能蕴含着二次协商功能和财产兑现功能,可为自然人参与数字红利分配、实现个人信息的财产利益提供新的路径。”[13]还有学者主张,也应当对“非物质性权益”和“预期利益”予以保护。[14]
其次,关于个人信息权(益)的外延和界分。有学者认为,个人信息权与传统人格权适用混乱的根源是“学界误认为二者的并存可通过权利竞合予以解决,忽视了数字社会是适用个人信息权的必要前提,也未能意识到个人信息权的核心问题与制度关怀。”因此,其主张“个人信息作为权利客体的本质特征是算法识别,由此决定了个人信息权的法律属性及其规则内容的特殊性”,这应该成为区分个人信息权与传统人格权的实质要素。[19]有学者则认为“个人信息权具备民事权利体系中绝对权的性质,与隐私权有清晰的界限”。[20]此外,还有学者在澄清中国法上的隐私权概念的基础上,从权利性质、权利范围、权利特征、权利目的、保护目的、保护场合、保护手段、保护强度、保护方式、保护规则适用等方面进行了梳理、分析、对比、反思、论证,进一步明确了隐私权和个人信息权益的关系。[21]
(二)个人信息保护的边界
首先,关于个人信息保护的理念。有学者主张“确立个人信息保护权利基础的二元结构”,“明确个人信息基本权积极面向的主观权利属性”,从而“适度延伸个人信息基本权的效力范围”。[22]如此一来,随着公法上“主观公权利”的引入,有助于“完善权利体系”“保障公法救济”“提升执法动力”“平衡复杂利益”,既可以明确“公法介入与私法自治”的边界,也可避免法律条文竞合“可能导致的公法介入泛化问题”。[23]
其次,关于个人信息保护的体系。要真正实现对个人信息的有效保护,必须建立个人信息保护的体系,既包括个人信息保护的法律体系、制度体系,也包括个人信息保护的组织体系、机构体系。对于个人信息保护的法律体系,有学者“以对信息的界定与分类为前提”,尝试通过“对信息敏感层级的划分”,构建“民、行、刑三方为主导”的多元的法律保护体系。[24]对于个人信息保护的组织体系,有学者在分析“公民人格权益组织保障者”“企业自我规制规制者”“公权力机关信息处理监督者”三大现行组织在履行功能时分别面临的“权利保障形式监管缺位与实质目标异化”“企业协同治理角色缺失”“监管者自我监管客观性”三大缺陷,提出由“‘属地管理’为核心的综合行政执法机构”,“个人信息保护咨询机构”以及“专门监督国家机关处理个人信息的独立机构”组成的混合分散式的工作机制。[25]
32023年度法学CSSCI期刊个人信息保护研究“信息处理篇”综述
学界对《个人信息保护法》第二章“个人信息处理规则”的研究主要集中在以下方面。
(一)一般个人信息的处理
首先,个人信息处理的合法性基础(第13条)。《个人信息保护法》第13条构建了7项平行的合法性基础,但由于历史原因,“同意”这一项合法性基础更为监管机关、公众等所熟知,其他的合法性基础由于暂时没有细化指引而缺乏指导。有学者对《个人信息保护法》第13条第1款进行了评注,将个人信息处理的合法性基础区分为“自主决定型合法性基础”“引致条款型合法性基础”和“法益权衡型合法性基础”,并以此为基础划定“信息主体同意”“履行合同必需规则”“订立合同必需规则”“法定职责必需规则”“法定义务必需规则”“正当利益规则”等不同合法性基础的适用范围和主要场景,从而将“信息自决的价值理念落到实处”。[26]
在所有的个人信息处理合法性基础中,“合同所必需”规则的讨论是最为热切的。有学者专门为该项撰写了评注,其认为:“就‘合同’的适用应限定于民事合同关系”;“‘订立与履行中’可解释为从先合同义务中的‘合同准备’到合同履行完毕这一全过程”;“主体要件以及对‘必需’的判定应当作目的论限缩”;等等。此外,该学者还主张“必要时可引入‘场景理论’模型开展续造工作”。[27]也有学者通过分析“欧盟‘合同所必需’规则的适用前提、适用标准、适用条件”,提出在适用该项合法性基础事由时必须明确“合同依法成立并生效”这一独特前提。此外,还应当确立相应的“关联性”“必需性”“透明度”等标准。[28]为了“妥当协调合同自由与人之尊严的紧张关系”,有学者主张对个人信息处理中履行合同必需规则进行限制适用,即“只有为履行合同义务的处理行为纯粹服务于信息主体的合同利益,并符合目的关联性和对个人权益影响最小等标准,才能适用履行合同必需规则”。[29]
此外,传媒为公共利益,合理处理个人信息构成个人信息处理活动的合法性基础及民事侵权的免责事由。因此有学者针对第五项合法性基础即“公共利益”在传媒领域中的判定进行了深入分析,“在涵盖新闻报道和舆论监督的传媒活动中,单纯的信息流动和公众兴趣不属于公共利益的范畴”。根据传媒活动中个人信息服务于公共利益的具体方式,应当“将公共利益区分为针对特定身份的公共利益”和“针对公共事件的公共利益”。当公共利益和个人利益发生冲突时,“传媒处理个人信息需要满足合理性要件的要求,确保其促进的公共利益与减损的个人利益成比例。”[30]
同时,对于第六项个人信息处理的合法性基础,由于“个人自行公开与被他人合法公开”的区别的客观存在,有学者主张应当对其分开讨论,对于个人自行公开的,意味着向不特定人作出了同意处理的意思表示。因此“应从客观的信息处理者角度,对同意有效性及其具体内容作出解释。”也即,“事先拒绝应当理解为明确框定同意的范围,是否有效依意思表示解释规则为断;事后拒绝权不能被理解为任意撤回权;后续处理处于同意范围内的,信息主体无事后拒绝权。”而他人合法公开个人信息,“意味着该信息处理行为属于合理使用情形;若后续处理行为因目的兼容而与他人合法公开属于同一类型的合理使用,则信息主体无权拒绝。”[31]
但是,个人信息处理的合法性基础条款在事实上“深陷传统财产规则的桎梏”,过分强调个人对信息的控制,而忽视了个人信息的流通与利用。因此,有学者主张“引入优位利益豁免规则,赋予信息控制者在经过利益识别,认定信息处理所保护之利益优于信息主体利益后,无需经过信息主体同意直接处理个人信息的权利,进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充,平衡对信息主体的过度保护。”与此同时,该学者也主张需要“建立严格的优位利益识别机制”“强化信息控制者义务”“疏通信息主体的救济途径”并“加强政府监管”,以防规则滥用。[32]
其次,个人信息保护中的同意规则的适用(第14条和15条)。有学者认为,个人信息主体的同意具有双重法律性质,其既“属于准法律行为,在例外情况下也具有意思表示属性”,基于此,二者便具有不同的功能。其中,“具有意思表示属性的同意则同时受到法律行为规则与个人信息保护规则的双重规范。”[33]但是,还有学者认为“知情同意”是私法自治的具象,其法律性质为“合同”。相应地,其主张应当从“明确知情同意的成立和生效要件”“厘清知情同意的效力瑕疵及处理方式”“具化同意的方式”以及“缓和数据保护与流通之间的法律价值冲突”等方面来完善作为法律行为的知情同意。[34]
此外,还有学者考量了未成年人的同意能力,认为“应突破年龄标准的局限性,结合个人信息类型、处理目的及处理方式等因素综合判定”。其得出的结论是“8周岁至14周岁之间的未成年人接受符合其认知的在线学习、网络社交、在线影音等基本功能服务,个人信息处理者以非共享方式处理满足最小化原则的非敏感个人信息时,不满14周岁的未成年人可独立同意;在个性化服务场景以及未成年人敏感个人信息处理场景下,即使已满14周岁的未成年人仍不具备相应的同意能力。”[38]
再次,个人信息的自动化决策处理(第24条)。《个人信息保护法》第24条共3款,分别规定了个人信息处理者自动化决策的义务、自动化决策方式直接营销的要求、信息主体的要求说明权和拒绝权等内容。有学者以第2款规定的自动化决策方式直接营销的调整规则为主题,分析了该款的独特性亦即“‘个人的同意’不再构成自动化决策方式直接营销的法律基础”,并将其与“不针对其个人特征的选项”的选择权进行了对照。[39]
又次,公共场所下对个人信息的采集(第26条)。有学者认为,在“不涉及高度个人隐私的公共场所配置视频监控设备”伴生着“收集个人信息泛化”的风险,因此需要“综合考量公共场所视频监控设备所涉及的主体、客体、行为目的三方面要素”,从“加强行政监管”、“明确视频监控设备配置”和“收集范围”等方面对个人信息的公共采集进行补强规制。[40]
最后,已公开个人信息的处理(第27条)。有学者分析了《个人信息保护法》第27条的法理基础和适用规则,该条一方面可以“推定信息主体同意信息处理者处理公开的个人信息,建构起了基于知情同意的默认规则”,另一方面“赋予信息主体对默认规则的‘明确’拒绝权”,二者共同构筑起了“处理公开个人信息默认规则的完整架构”。[41]但是,有学者认为现有关于公开个人信息处理的规则过于宽泛,应当对已公开个人信息的合理使用范围进行限缩解释。其主张“合理使用的判断标准应由‘已公开标准’到‘分离性标准’”,也就是要以“二阶判断”方式确定“处理行为对原权益人的利益关联效果”,从而为“合理使用边界的诠释提供逻辑基础和规范模式”。[42]
(二)私密信息及敏感个人信息的处理
《民法典》第1032条第2款规定,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”普遍认为,隐私与个人信息的交叉点就在于私密信息。第1034条第2款,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”《个人信息保护法》第28条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”因此,学界关于本部分的研究则围绕上述法条及其衔接适用展开。
首先,私密信息的概念。有学者认为,私密信息是“隐私和个人信息二分的产物”,生成于“高度信赖的具体亲密环境”,“是反映‘自我描述’不受妨碍的自主意愿的个人信息”,与“生成于社会交流、描述‘他我’的无涉隐私的个人信息”相区别。[43]有学者认为私密信息既是“个人信息的一种”,同时“又是隐私之一种”。[44]
其次,私密信息的范围。有学者依据私密信息的识别性和隐私性属性,结合场景理论,将私密信息的范围界定为“财产信息”“医疗健康信息”“生物识别信息”和“私人生活信息”四种。[45]
(三)国家机关的个人信息处理
《个人信息保护法》第二章“个人信息处理规则”的第三节“国家机关处理个人信息的特别规定”涉及“适用范围”“依法依职责处理”“告知”“境内存储”“其他组织适用”等等。本年度学界对国家机关个人信息处理的研究共4篇文献。
首先,数字政府建设中的个人信息的处理与保护。有学者认为,我国现行《个人信息保护法》采取的公私部门一体调整的宣示性立法模式“既无法为公共部门个人信息保护提供足够的规则指引”,也“未充分满足数字政府建设的需要”。因此,其在既考虑“公共部门相对私人部门在个人信息处理活动中的特殊性”,又兼顾“数字政府在技术和治理这两个层面的革新”的基础上,运用“风险规制模式”尝试对个人信息权利的风险化解释与调适,亦即对“风险管理、风险交流和风险评价等风险规制机制的灵活运用”以及“合作治理、独立规制机构、技术治理、回应治理、试验规制和软法之治”等风险规制策略进行探寻和思索。[52]
其次,国家机关传输个人信息的治理。有学者认为,相较于一般的个人信息传输行为,国家机关针对个人信息的传输呈现出“一体化和点状式两种实践形态”。为了应对“一体化形态”的叠加风险与“点状式形态”的特殊风险,该学者主张应当“基于类型化视角对国家机关间个人信息传输行为进行适法性调适,以法律保留原则对传输行为区分不同的规范强度,根据程序正当原则对传输行为形成梯度性约束,并按照均衡性原则对传输行为进行差异化调控”。[53]
此外,也有学者通过阐述政务数据共享与政务数据开放的区别、政务数据共享的发展状况与特色做法后,分析政务数据共享中的个人信息所面临的风险,从而建议通过“制定政务数据共享法”和“避免建立大型中央数据库”等措施来实现对政务数据共享中的个人信息的保护。[54]
42023年度法学CSSCI期刊个人信息保护研究“跨境流通篇”综述
《个人信息保护法》第三章规定了“个人信息跨境提供的规则”,学界对个人跨境流通的研究主要集中在以下几个方面。
(一)个人信息跨境提供的规制原理研究
在常态化的跨境数据流动规制当中,主要存在基于国际贸易衍生的“绝对自由主义”和基于限制程度的“严格本地化限制”两种基本模式。但是,这两种基本模式被逆全球化、强区域化的趋势和浪潮所席卷,并孕育了“立体化的‘共同体’间自由流动与‘共同体’外限制流动相结合”的新模式。对此,有学者主张一方面通过完善国内立法来“鼓励发展分级分类分区域的跨境数据流动监管体系”,另一方面基于对等原则“协同发展‘点对点’与‘点对面’的数据双/多边互信机制”,以有效应对与防范“来自域外的恶意数据管辖”,达成“战略的缓冲与国际话语权的双掌握”,同时实现我国“由国际数据治理参与者向规则制定者的转变”。[56]
有学者运用形式模型解析了跨境数据流动规则的“跨境数据流动治理具有国际关系学科属性”和“跨境数据流动产生的国际关系过程和模式呈现博弈特征”两个理论逻辑。紧接着,其运用围猎博弈模型缕析出我国跨境数据流动规则的“例外条款规则体系呈碎片化,平衡分歧的制度功能受限”和“本地化政策使数据流动受阻,难以平衡数据安全与开放”两个不足,进而论证了我国构建数据模型指导规则完善的现实必要性,并运用围猎博弈模型尤其是“三段式”数据模型对我国跨境数据流动规则进行宏观走向和微观路径的体系重塑。其拟定的具体重塑路径方面分三个阶段进行,在T1至T2阶段,“选择例外条款范式,输出制度话语权”;在T2至T3阶段,“重塑本地化模式,融入全球化进程”;在T3阶段往后,“积极参与国际规制协作并逐步形成中国方案”。其中,前两个阶段亦即T1至T3阶段主要是通过“提高规则间适配性以形成协调的内部体系”。[57]
(二)个人信息跨境提供的典型范例研究
从现有的研究文献来看,不管是基于欧盟较早颁布的立法,亦或欧盟与其他国家(主要是与中国和美国)的数据流动治理机制,对于个人信息跨境提供的典型范例研究全部以欧盟为中心。
(三)个人信息跨境提供的协定因应研究
在经济全球化的浪潮中,形成了两套比较典型的国际贸易规则,即WTO规则和WTO规则后的一系列贸易协定,这些国际贸易规则对个人信息的跨境提供发挥着不同程度的影响,需要我国有针对性的进行因应和反馈。
当然,也有学者持相反观点,其认为“以CPTPP、RCEP为代表的区域贸易协定在规制内容、特点及效果方面存在较大差异”,因此“WTO仍然是打造数字贸易多边规则的最佳平台”。该学者主张应当把握WTO改革的契机,妥善思考思考三方面问题:第一,“如何处理未来规则与现有规则之间的协同与发展关系,特别是与GATS的衔接和整合关系,以及与典型区域贸易协定的借鉴和继承关系”;第二,“如何处理制度创新与国家安全之间的平衡关系,国家安全与例外条款的合理解释与适用边界设在何处”;第三,“考虑到WTO改革的周期性和不确定性,如何利用好国家间对话、国际标准制定等软法路径”。[64]
52023年度法学CSSCI期刊个人信息保护研究“权利保护篇”综述
《个人信息保护法》第四章规定了“个人在个人信息处理活动中的权利”,相应的,第五章规定了“个人信息处理者的义务”。权利和义务是法学的核心范畴,信息主体的信息权利与个人信息处理者的义务自然也是《个人信息保护法》的核心。因此,学界对于权利的保护、义务的履行(其目的也是保护权利)的研究数量最多。
(一)个人在个人信息处理活动中的权利
《个人信息保护法》第四章“个人在个人信息处理活动中的权利”先后规定了“知情权”“决定权”“查阅权”“复制权”“转移权”“更正权”“补充权”“删除权”“解释说明权”“逝者权益”等等。本年度对于个人信息的研究文献主要涉及个人信息转移权和个人信息保护请求权。
首先,对于个人信息转移权的研究。欧盟《通用数据保护条例》第20条规定的个人信息可携带权(或曰“数据可携权”)主要包含两个层次:一是指信息主体有权接收其先前提供给信息控制者的个人信息;二是指信息主体有权将其个人信息迁移至其他信息控制者。易言之,个人信息可携带权包含个人信息接收权和个人信息转移权,后者则为我国《个人信息保护法》第45条第3款所规定。因此,有学者建议“对第45条第1、2款规定的复制权进行扩张解释,证立出可维护个人积极地位的个人信息接收权”,从而在我国《个人信息保护法》上构造完整的个人信息可携带权。此后,其对个人信息可携带权的权利主体、义务主体、权利客体、法律效果和行使条件等分别进行了阐释,并提出了“持续性携带模式”和“个人信息管理系统”等的制度体系建构建议。[65]
但是,“个人信息可携权与其他权益的冲突阻碍了可携权的实施,《个人信息保护法》也没有规定个人信息可携权所涉之权益冲突的协调机制。”因此,有学者针对“个人信息可携权与原处理者权益的冲突”和“个人信息可携权与其他主体权益的冲突”这两种个人信息可携权利益冲突的两种形式分别提出了解决方案。[66]
与上述研究场景不同的是,还有学者对个人信息可携带权在国家机关间的行使进行了研究。该学者认为,“国家机关间行使的个人信息可携带权是一种公法权利,主要体现为要求国家机关作出具体行为的行政法上的请求权,其解释需要受其宪法规范的辐射效果。”相应地,需要从“权能要素”、“客体范围”和“技术标准”等维度来明确公法意义上的可携带权的权利内容,并通过“基于公共利益的限制”和“基于第三人保护的限制”来厘定其公法意义上的最终保障范围,从而“更好地发挥其促进数据流通、构建互联互通数字政府的积极作用”。[67]
其次,对于个人信息保护请求权的研究。《个人信息保护法》第50条规定了个人信息保护请求权的具体行使方式。作为一种程序性权利,个人信息保护请求权发挥着作为权利实现方式的作用。有学者对个人信息保护请求权的行使程序、受阻的起诉与受理以及与两类损害赔偿请求权的关系进行了研究。该学者认为,“个人就个人信息保护请求权提起诉讼的,应以个人信息处理者拒绝其行使权的请求为前提。”而人民法院应当对“个人信息处理者拒绝个人行使权利的正当性”的审查作为是否立案的主要考量因素,符合起诉条件的,“个人可以就维护权利的合理费用一并提出损害赔偿请求”。如果个人因个人信息被侵害受到人身、财产损害的,“可依据《个人信息保护法》第69条的规定直接提起诉讼,不以向个人信息处理者先行提出损害赔偿请求为前提”。[68]
(二)个人信息处理者的义务
有学者对个人信息安全事件的通知义务(第57条)进行了研究。其认为,个人信息安全通知义务的通知情形是“发生安全事件的‘个人信息’可能影响信息主体实际权益”,通知内容“应当对通知监管机构和信息主体的内容作出区别规定”。基于此,信息处理者向信息主体履行通知义务的理论基础是“侵权责任和合同附随义务产生的私法责任”,向监管机构履行通知义务的理论基础是“公法要求”。同时,如果个人信息处理者“对个人信息采用加密等技术手段”,就可以“不向信息主体履行通知义务”。但是,“当发生安全事件的个人信息达到一定规模体量”时就必须要通知监管机构。最后,不履行通知义务的法律责任“更宜适用作为特别法的《个人信息保护法》的法律责任规定”,因此需要“限缩私法层面的赔偿责任,强调公法层面的处罚责任”。[70]
还有学者针对重要个人信息处理者的特殊义务(第58条)进行了研究。其首先对重要个人信息处理者的认定原则、认定条件、认定程序进行了阐释,紧接着指出重要个人信息处理者的社会风险、“透明度”风险、“权力”滥用风险。由此提出“建立双层个人信息安全治理结构”“明确重要个人信息处理机构的‘权力’边界”“重要个人信息处理机构公司治理机构的特别设计”以及“信息披露制度的设计”来加强对重要个人信息处理者的特殊监管。[71]
(三)敏感个人信息保护
我国《个人信息保护法》第28条第1款规定了敏感个人信息的定义,并采用列举的方式将属于敏感个人信息范围的生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、(不满十四周岁)未成年人信息等列举出来。本年度学界关于敏感个人信息保护的研究则以上述列举的6类展开。
其次,医疗健康信息保护研究。有学者认为,阻碍可穿戴设备中个人健康信息保护的用户同意的因素包括“未区分不同类型的信息设置不同级别的保护”、“同意异化为规避法律风险的工具”和“同意的边界不清”,因此需要相应地建立针对敏感信息(强保护模式)、一般信息(弱保护模式)、公开信息(次弱保护模式)为对象的“分级同意模式”为核心的以“风险预防”为导向的“静态保护”和面向面向“健康管理”“运动指导”“线上问诊”“医学研究”和“公共卫生监测”五大场景的以“过程化同意”为核心的“信息生命周期视角”下的“动态保护”的双层保护路径。此外,其还认为在“紧急情况下为保护自然人的生命健康所必需”和“为应对突发公共卫生事件情形下的信息二次利用”两种情形下可以对穿戴设备中个人健康信息进行强制处理。[77]为促进个人健康信息的合理使用,有学者引入了“设计保护”的理念和进路来弥合个人健康信息合理使用中的冲突。其从伦理、法律、技术三个维度对个人健康信息的合理使用进行了“设计”,并明确了“为公共利益的合理使用”“为集体利益的合理使用”“为个人利益的合理使用”“公开个人健康信息的合理使用”四种情形下的“设计”侧重。[78]
再次,金融账户信息研究。金融账户信息与个人金融信息并不完全等同,《个人信息保护法》仅将金融账户作为敏感信息,而个人金融信息则需要另当别论。不过,许多学者以个人金融信息为出发点,研究个人金融信息的保护进路,有学者建议在宏观层面“制定《个人金融信息保护法》,明确个人金融信息的有关基础概念、范围、原则、监管机构以及分类标准”,在微观层面“制定不同金融场景内的具体部门规章,完善个人金融信息全生命周期不同环节的具体规则设计”。[79]其余的学者则主要针对个人金融信息当中的信用信息保护进行了研究。为了应对《社会信用体系建设法(征求意见稿)》所设置的“公共信用信息系统”和“征信系统”的分类处理逻辑,有学者审视了“个人信用信息法律制度的结构”,并将“征信信息”理解为“网络化”的个人信用信息,将“公共信用信息”理解为“网格化”的个人信用信息,从而赋予其不同的合规要求。[80]
(四)特殊场景的个人信息保护
在数字经济时代,由数字技术引发的一系列生活方式的变革致使将个人的生活方式切割为不同的生活场景,不同的生活场景发生着不同的个人信息处理行为,因而不用场景下的个人信息保护有着不同的侧重。
首先,搜索引擎处理中的个人信息保护研究。有学者分析了目前“市场约束范式”“技术修复范式”“机构监管范式”三种不同模式因为与搜索引擎的“市场结构”“技术逻辑”和“监管制度”难以契合而效果不彰。因此,其主张“建构由搜索引擎运营商和行业协会推动的自律机制”、“由政府机构主导的他律机制”,最终形成“多元化、主体化与技术化、规范化有机结合”的治理体系。[85]
其次,区块链智能合约中个人信息保护研究。有学者认为,区块链智能合约的“自动性”“去中心化”“匿名性”和“不可撤销性”的特点致使“信息安全监管难度增大”“个人信息难以被控制和被更正”“用户隐私安全受到严重威胁”三大困境。因此,其主张通过“明确区块链智能合约中个人信息安全保护的技术标准”“构建多元化个人信息安全监管模式”“完善私钥保护法律制度”“建立个人信息有效更改机制”“增加预先承诺监管制度”等措施来完善区块链智能合约中个人信息安全的法律保护。[86]
再次,疫情防控常态化中个人信息保护研究。疫情防控是个人信息保护与公共利益冲突与平衡的典型领域,有学者在厘定公共利益与公民个人信息权益的涵义的基础上,确定了“公共利益优位”的前提,同时基于“比例原则”、“目的正当原则”和“安全保障原则”,提出了应对“收集主体多元”“披露主体不一”“披露标准阙如”“删除规则缺位”等问题的“完善立法裁决程序,明确法律适用依据”“建立公共利益的代表机构并实行数据共享”“统一规范确诊人员轨迹信息公布模板”“规定统一指导下的分级分类保护制度的具体细则”“明确信息被删除的具体程序,建立分类别的周期删除制度”“完善个人信息受侵犯的救济途径,引入行政公益诉讼制度”的对策建议和优化策略。[87]
又次,雇佣关系中的个人信息保护研究。为了矫正雇员个人信息保护失衡状态,有学者建议引入“比例原则”对“雇员个人信息权益所受损害”“雇主手段成本”“雇主经济利益”与“社会公共利益”四项分析要素进行分析,同时构建以正当性、适当性、必要性与均衡性为核心的审查程序和审查标准。在具体的适用上,该学者建议“借助比例原则检讨《个人信息保护法》第13条第1款第2项‘人力资源管理所必需’之合法性基础,并在职场监控等案件中强化劳雇双方利益衡量”。[88]
从次,生成式人工智能应用的个人信息保护研究。有学者认为生成式人工智能的技术跃进“架空了个人信息处理的告知同意规则”“虚置了个人信息处理的最小必要原则”“引发了虚假信息的生成和累积”“增加了个人信息泄漏频发的风险”等问题。因此其尝试通过以风险控制为导向的个人信息保护机制来为“灵活和实用地平衡生成式人工智能应用中的信息利用和风险控制”提高有效的解决方案。其主张,在风险控制理念下,“对告知同意规则和最小必要原则进行风险化解释与调试,并建立从预防到识别再到控制的虚假信息生成风险的全过程应对机制,以及基于风险的个人信息保护合规管理体系”生成式人工智能给个人信息保护带来的极大挑战。[89]
(五)个人信息的部门法保护与衔接
其次,个人信息的国际法保护。有学者认为“运动员个人信息在法律主体、场景适用、信息流通方面具有独特性”,因此其基于运动员个人信息区分的“分类+场景”的新模式,建议从“个体赋权”“国内立法”“行业自治”“国际监管”“跨境评估”等方面完善完善运动员个人信息的保护体系。[93]
最后,也是最主要的是个人信息的刑事法保护与衔接。相较于其他部门法而言,包含刑法和刑事诉讼法在内的刑事法对个人信息的保护以及与《个人信息保护法》的衔接研究数量最多,共有9篇文献。这些研究涉及以下内容。
第一,整体意义上的个人信息刑法保护研究。有学者在根据“基于风险的方法”提出了“合规风险”的概念,由此其主张“个人信息的界定与分类应根据场景作动态判断。如果信息处理者没有制造、实现“合规风险”的“后果”要素,则不构成本罪。[94]也有学者为了应对新信息技术新信息技术对个人信息保护带来的“个人信息属性复杂多变”“‘知情同意’原则虚化”“滥用个人信息日益严重”等现实挑战,提出了“变绝对保护立场为相对保护立场”的路径转变,然后以此为基础,“确立适应新信息技术的个人信息类型、法益类型和归责原则,进而引入个人信息生命周期理论,构建收集、处理、交易和使用全场景的刑法个人信息保护模型”。[95]
第二,特定个人信息处理行为的刑法规制研究。本年度研究文献涉及的特定的个人信息处理行为包括两类,一类是“非法使用公民个人信息”,另一类是“滥用已公开个人信息”。
针对前者,有学者认为“非法使用公民个人信息”的行为与“侵犯公民个人信息罪等涉个人信息犯罪的构成要件行为(流转行为)不同质,且侵犯的法益具有独立性”,因此不能“通过刑法解释而应通过刑法立法将其入罪”。其认为,“非法使用个人信息行为侵害的法益是个人信息使用决定权,不同于侵犯公民个人信息罪的保护法益(个人信息流转决定权),其社会危害性程度也与侵犯公民个人信息罪有别,不宜将其作为侵犯公民个人信息罪的行为类型予以规制,应对其单独设罪配刑”。同时,该学者还主张“基于我国刑法针对特定对象的非法使用行为入罪配刑的立法逻辑等考量,对非法使用个人信息行为入罪配刑宜采轻罪模式”。[96]与此相反,有学者认为“《刑法》第253条之一侵犯公民个人信息罪能够囊括非法使用个人信息行为这一新类型,不宜再单独为其设置一个新罪名。”因此,其主张“在侵犯公民个人信息罪内部,将非法使用个人信息行为单独作为一款加以设置”。在罪状方面,“应当明确前置规范的范围、非法使用行为的边界以及罪量上的要求”。在刑罚方面,“非法使用个人信息行为的法定刑应适当高于非法提供、非法获取两种行为类型”。[97]
第四,侵犯公民个人信息罪的理解与适用。关于侵犯公民个人信息罪的保护法益,有学者依据场景化的划分将个人信息分类,并以此分类为基础探讨是否成立本罪。其最后得出的结论是侵犯公民个人信息罪的保护法益应为“(一般识别信息场景下的)作为个人法益的个人信息自决权”和“(敏感个人信息和复杂隐私信息场景下的)作为超个人法益的公民信息安全”。[101]还有学者认为,要想构成侵犯公民个人信息罪,就必须以“前置法的违法性判断”亦即要达到民法意义上对个人信息权益的侵犯为基础。并主张在“整体法秩序的视野”中,将侵犯公民个人信息罪的规制对象限缩为“信息的滥用”而“不只是非法获取”。[102]
此外,也有学者以《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定的刑法中的“公民个人信息”的“可识别性”为研究对象,分别从识别方式、识别对象、识别标准进行解释学论证。[103]还有学者对该司法解释第6条的“为合法经营”进行了释义学分析,其在分析该条款在司法实践中由于“怠于解释兜底条款、扩张特定信息外延、不当适用曾受处罚又再犯的规定”的原因而被边缘化的困境,其主张要认真对待作为降低责任刑之情节的“为合法经营”,避免其适用空间被不断压缩。[104
(六)个人信息保护的域外经验
实际上,本年度对个人信息研究的部分论文在行文时也运用了比较的研究方法,但由于其论述的主题、篇幅、核心并没有以域外的制度或现状为侧重,亦或已经按照其他更为重要的分类予以梳理(例如个人信息的跨境提供),因此严格划分到本部分的论文仅有1篇。在这篇论文中,该学者分析了美国和欧洲个人信息保护的国际造法的现状,并以此为基础分析它们之间存在的价值取向与具体标准的冲突以及由此引发的内部效应和外部效应的深刻影响。因此,其主张我国应当“在定位清晰的前提下选择合适的造法维度,并借助不同造法机制的联动实现数字红利的最大化”。[107]
62023年度法学CSSCI期刊个人信息保护研究“法律责任篇”综述
(一)行政处罚条款(第66条)的理解与适用
《个人信息保护法》第66条规定了对个人信息处理者违法处理行为以及对其直接责任人员或主管人员的行政处罚。有学者认为,个人信息保护中行政处罚的实施正面临“过度介入私权纠纷化解”、“压缩社会自治空间”及“混淆内部法益构造”等质疑,因此其对个人信息保护中行政处罚的实施基础重新审视,并从“调整信息处理者与信息主体之间的不平等关系”,“规避个人信息处理领域的不特定公共风险”以及“协调个人信息权益保护中的多元利益诉求”三个角度确立了个人信息保护“行政处罚实施的目标和边界”。紧接着,其在遵循“价值平衡”、“风险预防”和“辅助监管”等原则的基础上,从“宏观、中观和微观层面促进公法与私法、硬法与软法的衔接适用,协调不同法律规范的效力位阶关系,以及推动制度设计的场景化、精细化。”该学者还主张依托“组织法、行为法、程序法构造”确定行政处罚实施的“主体结构”“操作指南”“流程指引”等,最终增强处罚实施的正当性和明确性。[108]
(二)对国家机关的处罚条款(第68条)的理解与适用
《个人信息保护法》第68条规定了国家机关及其责任人员违法处理个人信息的法律责任以及履行个人信息保护职责的部门的工作人员的法律责任。有学者认为,该条存在两项缺漏:“一是未明确履行个人信息保护职责的部门不依法履职的法律责任,二是未规定对非国家机关违法负直接责任的公职人员应受处分以及对国家机关违法负直接责任的人员应受行政处罚。”[109]因此,其针对这两项缺漏对该条的适用行为和责任形式进行了阐发。
(三)归责原则条款(第69条)的理解与适用
《个人信息保护法》第69条规定了个人信息民事侵权的证明责任以及赔偿范围。学界对个人信息民事侵权的研究主要集中在如下几个方面。
首先,个人信息民事侵权证明责任的前置问题即个人信息民事侵权行为的构成要件。从整体上来看,有学者认为,个人信息侵权的规范构造需要处理好两对矛盾:“信息主体和信息处理者能力不对称导致的举证困境;个人信息权益保护与合理利用个人信息的对立。”[110]而有学者则从民法典与《个人信息保护法》衔接适用即“法秩序内外在体系融贯”的角度提出了在认定个人信息侵权责任时需要处理的两组规范关系:“我国民法典第1165条第1款与个人信息保护法第69条第1款的规范适用关系;二是规定侵权责任成立构成要件的民法典第1165条第1款、个人信息保护法第69条第1款与引入利益权衡方法的民法典第998条的规范关系。”[111]还有学者则借助“《个人信息保护法》第9条规定的问责原则与安全原则”,来“柔化《民法典》一般侵权规范的适用”。[102]
其次,个人信息民事侵权证明责任和证明标准。有学者基于司法案例的实践分析,认为“考虑到个人信息主体证明因果关系的困难,可采用‘较大可能性’的证明标准。”[127]有学者则以“个人信息泄露”为场景,以“不明第三人侵权”为中心,运用传统的经典证明责任原理对有关问题进行了细致的分析和应用。[128]有学者认为“可以通过因果关系表见规则与《民法典》第1170条的直接适用,消解个人信息侵权案件中因果关系证明的困难”。[129]还有学者认为,“问责原则要求个人信息处理者对民事损害负责,当存在不法个人信息处理行为时,可以依据法规目的说判定因果关系的成立。”同时,“鉴于个人信息处理者承担特殊的安全管理义务,即便个人信息是从第三人处泄露或存在第三人故意介入的因素,因果关系也并非当然中断。”[130]
(四)公益诉讼条款(第70条)的证成、理解、适用、完善
《个人信息保护法》第70条规定了个人信息保护公益诉讼制度。学界对个人信息保护公益诉讼制度的研究集中在如下几个方面。
首先,个人信息保护公益诉讼制度的证成。有学者认为,“认知问题与结构问题”削减了“个人控制范式”的保护力,从而成为引入“作为社会保护范式重要依托的公益诉讼制度”的必要性;“个人信息的公共性”则成为“检察公益诉讼介入个人信息保护领域的正当性基础”。[131]
其次,个人信息保护公益诉讼制度的理解与适用。整体来看,有学者认为“个人信息保护公益诉讼中有关受案范围、起诉顺位和诉讼请求的争议,均需置于个人信息治理的框架内进行体系化解释”。[132]也有学者则认为需要“将风险预防作为该项制度的主要功能”,从而以此为基础对该制度进行理解、适用和完善。[133]具体而言,则主要集中在以下几个方面。
第一,关于受案范围的确定。有学者认为,“侵害众多个人的权益”的规定不等同于“将公益的内涵直接向私益领域扩张”,同时,还要基于“个人信息保护法的保护客体”进行限定。[134]有学者认为,需要对“侵害”“众多”“权益”的判断标准进行分别细化。其中,将“负有个人信息保护监管职责的行政机关不依法履行职责的行为”纳入“违反本法规定处理个人信息”的范围;避免将“侵害”简化为侵权法意义上的“损害”;对“众多”的判断既要考虑“人”,也要考虑“信息”本身;对“权益”的判断既要考虑“物质性权益”,也要考虑“非物质性权益”。[135]还有学者将《个人信息保护法》中的“社会公共利益”理解为三个层面:侵害的个人利益具有损害社会一般性价值的普遍性和典型性;数据信息交易安全、数据市场有序竞争与健康发展;对个人与超级平台信息处理者之间能力过分悬殊的适度修正。[136]
第二,关于起诉主体的顺位。有学者认为,可以对检察机关在起诉顺位上予以“突破解释”。[137]还有学者认为,“应当强化检察公益诉讼在个人信息保护公益诉讼中的示范引领作用,不应当设置过多阻却性的前置程序。”[136]但是,也有学者则认为,“《个人信息保护法》第70条将检察院列于首位,这一做法与《民诉法》第58条以及《检察公益诉讼解释》第13条之规定不符,也与检察实践之具体做法相悖;应遵循检察谦抑性之要求,坚持‘法律规定的机关和有关组织’第一顺位、检察院第二顺位之起诉主体安排;且检察院在提起个人信息保护民事公益诉讼之前均应履行诉前公告程序。”[139]
第三,关于损害赔偿的范围。有学者认为,由于“威慑功能不显著”“影响诉前治理”“重视恢复功能”三个角度论证了“个人信息保护公益诉讼的损害赔偿请求不包括惩罚性赔偿,但在公益遭受实际损失时可以请求公益损害赔偿金”的观点。[140]但是,有学者则认为应当“引入惩罚性赔偿,加强对个人信息保护违法行为的威慑”。[141]
[1]参见黄文艺:《中国法学期刊高质量发展趋势分析》,载《清华法学》2023年第6期,第168-169页。
[3]参见申卫星:《数字权利体系再造:迈向隐私、信息与数据的差序格局》,载《政法论坛》2022年第3期,第89-102页。
[4]程啸:《论个人信息权益》,载《华东政法大学学报》2023年第1期,第6-21页。
[5]阮神裕:《个人信息权益的二元构造论》,载《法制与社会发展》2023年第4期,第63-80页。
[6]萧鑫:《个人信息权的分析与建构》,载《法学研究》2023年第6期,第73-93页。
[8]龙卫球:《论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角》,载《比较法研究》2023年第2期,第152-171页。
[9]杜明强:《论作为新兴人格权的个人信息权》,载《北方法学》2023年第5期,第64-78页。
[10]钱继磊:《何以个人信息权为新兴(型)人权——人工智能与大数据新时代背景下的思考》,载《北方法学》2023年第2期,第5-14页。
[11]程啸:《论个人信息权益》,载《华东政法大学学报》2023年第1期,第6-21页。
[12]彭诚信、史晓宇:《论个人信息财产价值外化路径的重构》,载《当代法学》2023年第2期,第62-74页。
[13]吕炳斌:《数据流通利用语境下个人信息财产利益的实现路径》,载《比较法研究》2023年第6期,第63-76页。
[14]许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。
[15]贺彤:《安全作为个人信息保护的法益》,载《财经法学》2023年第3期,第110-125页。
[16]江海洋:《论数字时代个人信息的刑法保护路径选择》,载《当代法学》2023年第5期,第88-99页。
[18]张涛:《风险预防原则在个人信息保护中的适用与展开》,载《现代法学》2023年第5期,第52-72页。
[19]彭诚信:《论个人信息权与传统人格权的实质性区分》,载《法学家》2023年第4期,第146-159+195-196页。
[20]杨钢:《个人信息权禁令的理论证成与构造》,载《法律适用》2023年第3期,第94-108页。
[22]李海平:《个人信息国家保护义务理论的反思与重塑》,载《法学研究》2023年第1期,第74-90页。
[23]韩思阳:《个人信息保护中的主观公权利》,载《法商研究》2023年第4期,第87-100页。
[24]李立丰、王俊松:《个人信息法律保护体系的建构:以信息界定与分类为前提》,载《河南财经政法大学学报》2023年第2期,第1-12页。
[26]杨旭:《<个人信息保护法>第13条第1款(个人信息处理的合法性基础)评注》,载《中国应用法学》2023年第6期,第202-216页。
[27]彭飞荣:《<个人信息保护法>第13条第1款第2项(合同中个人信息处理)评注》,载《法治研究》2023年第3期,第132-147页。
[28]陈骞:《论个人信息处理的“合同所必需”规则》,载《行政法学研究》2023年第6期,第134-145页。
[29]杨旭:《个人信息处理中履行合同必需规则的限制适用》,载《法学》2023年第6期,第85-98页。
[30]曹权之:《论传媒处理个人信息中的公共利益》,载《东方法学》2023年第5期,第140-152页。
[31]杨芳:《重构公开个人信息处理的特殊合法事由——以区分自行公开与他人合法公开为核心》,载《比较法研究》2023年第6期,第154-169页。
[32]张硕:《论个人信息处理中的优位利益豁免规则》,载《行政法学研究》2023年第2期,第95-103页。
[33]林洹民:《论个人信息主体同意的私法性质与规范适用——兼论<民法典>上同意的非统一性》,载《比较法研究》2023年第3期,第142-154页。
[34]陈佳举:《法律行为理论下个人信息保护的知情同意研究》,载《中国政法大学学报》2023年第2期,第197-207页。
[35]褚婧一:《“用户-平台”关系中告知同意规则修正的路径选择》,载《苏州大学学报(法学版)》2023年第2期,第61-74页。
[36]何晓斌:《个人信息保护中告知同意的开放结构及其公法实现》,载《行政法学研究》2023年第1期,第143-153页。
[37]杨芳:《合同关系中个人信息处理同意撤回权的限制与展开》,载《法学》2023年第12期,第104-121页。
[38]张素华、尹晓坤:《未成年人个人信息同意能力的理论证成及判定》,载《财经法学》2023年第6期,第3-17页。
[39]张建文:《论自动化决策方式直接营销的个人信息法律基础》,载《法律科学(西北政法大学学报)》2023年第6期,第24-32页。
[40]董皞、王裔莹:《论公共场所监控设备收集个人信息泛化的规制进路——兼评<个人信息保护法>第26条》,载《法律适用》2023年10期,第9-16页。
[41]张薇薇:《公开个人信息处理的默认规则——基于<个人信息保护法>第27条第1分句》,载《法律科学(西北政法大学学报)》2023年第3期,第62-75页。
[42]王冉冉:《已公开的个人信息的合理使用及其缩限》,载《现代法学》2023年第4期,第46-58页。
[43]贺彤:《私密信息的概念构成与规则体系》,载《华东政法大学学报》2023年第3期,第22-36页。
[44]吴晓丹:《私密信息合理使用的规范体系及其限制》,载《华东政法大学学报》2023年第5期,第56-69页。
[45]张革新:《私密信息的范围界定与法律保护的完善》,载《中国政法大学学报》2023年第4期,第84-96页。
[46]贺彤:《私密信息的概念构成与规则体系》,载《华东政法大学学报》2023年第3期,第22-36页。
[47]张革新:《私密信息的范围界定与法律保护的完善》,载《中国政法大学学报》2023年第4期,第84-96页。
[48]刘磊:《论私密个人信息的合理使用困境与出路》,载《财经法学》2023年第2期,第36-50页。
[49]于若兰:《个人生物识别信息商业化应用规制:路径对比与规则补正》,载《科技与法律(中英文)》2023年第5期,第128-137页。
[50]吴晓丹:《私密信息合理使用的规范体系及其限制》,《华东政法大学学报》2023年第5期,第56-69页。
[51]莫琳:《敏感个人信息的界定及其完善》,载《财经法学》2023年第2期,第21-35页。
[52]刘绍宇:《数字政府建设中个人信息保护的风险规制路径》,载《财经法学》2023年第2期,第51-67页。
[53]罗英:《个人信息在国家机关之间传输的类型化治理》,载《法学》2023年第9期,第33-47页。
[54]邢会强:《政务数据共享与个人信息保护》,载《行政法学研究》2023年第2期,第68-81页。
[55]陈姿君:《行政机关采集人脸信息活动的法治因应》,载《行政法学研究》2023年第3期,第153-164页。
[56]邵怿:《跨境数据流动规制的自由化与本地化之辩》,载《政法论丛》2023年第5期,第139-148页。
[57]陈丽娜:《我国跨境数据流动规则的理论逻辑与体系重塑——基于围猎博弈模型的分析》,载《科技与法律(中英文)》2023年第5期,第61-72页。
[58]夏菡:《欧盟数据跨境流动监管立法的市场规制转向及对中国的启示》,载《河北法学》2023年第8期,第169-182页。
[59]金晶:《欧盟的规则,全球的标准?数据跨境流动监管的“逐顶竞争”》,载《中外法学》2023年第1期,第46-65页。
[60]徐伟功、张伟华:《中欧跨境数据流动治理合作机制:从非合作博弈到合作博弈》,载《河南财经政法大学学报》2023年第4期,第68-78页。
[61]刘业:《美欧数据跨境流动博弈中的欧盟技术主权战略及其实现》,载《国际法研究》2023年第6期,第64-85页。
[63]李烨:《RCEP协定下我国数据跨境流动规则的检视与完善》,载《科技与法律(中英文)》2023年第1期,第119-128页。
[64]刘影:《世界贸易组织改革进程中数据跨境流动的规制与完善》,载《知识产权》2023年第4期,第108-126页。
[65]蔡培如:《个人信息可携带权的规范释义及制度建构》,载《交大法学》2023年第2期,第59-73页。
[66]黄炜杰:《个人信息可携权所涉之权益冲突与规则适用》,载《地方立法研究》2023年第3期,第81-97页。
[67]罗英:《个人信息可携带权在国家机关间的实现》,载《政法论坛》2023年第6期,第124-134页。
[68]张新宝:《论个人信息保护请求权的行使》,载《政法论坛》2023年第2期,第26-37页。
[69]谢登科:《个人信息跨境提供中的企业合规》,载《法学论坛》2023年第1期,第85-94页。
[70]王玎:《论个人信息安全事件通知义务》,载《行政法学研究》2023年第2期,第82-94页。
[71]李爱君:《重要个人信息处理者的特别监管——兼论<中华人民共和国个人信息保护法>第58条》,载《中国政法大学学报》2023年第4期,第56-67页。
[72]张晨原:《元宇宙发展对个人信息保护的挑战及应对——兼论个人生物识别信息的概念重构》,载《法学论坛》2023年第2期,第132-141页。
[73]于若兰:《个人生物识别信息商业化应用规制:路径对比与规则补正》,载《科技与法律(中英文)》2023年第5期,第128-137页。
[74]田野:《消费性基因检测场景下的个人基因信息保护》,载《财经法学》2023年第6期,第18-32页。
[75]王毓莹:《人脸识别中个人信息保护的思考》,载《法律适用》2023年第2期。第15-24页。
[76]杨华:《人脸识别信息保护的规范建构》,载《华东政法大学学报》2023年第2期,第68-79页。
[77]马腾飞、冯晓青:《政府数据开放背景下人脸识别法律规制研究》,载《中国政法大学学报》2023年第3期,第180-191页。
[78]满洪杰、郭露露:《可穿戴设备中的个人健康信息保护——以同意为核心的研究》,载《法学论坛》2023年第2期,第121-131页。
[79]何红锋、张宇轩:《数字时代个人健康信息合理使用中的利益冲突与弥合——以“设计保护”为进路》,载《科技与法律(中英文)》2023年第4期,第43-52页。
[80]李东方、李耕坤:《数字经济时代个人金融信息的经济法分析与对策——从“立法碎片化”到<个人金融信息保护法>》,载《中国政法大学学报》2023年第1期,第201-215页。
[82]胡凌:《个人信用信息处理的法律制度结构》,载《中国应用法学》2023年第2期,第36-48页。
[80]李爱君:《个人征信信息法律规制研究》,载《中国应用法学》2023年第2期,第49-62页。
[83]赵以邗:《机遇与挑战:我国征信业务中个人信用信息处理的法律困境及改革路径》,载《中国应用法学》2023年第2期,第63-72页。
[84]高宁宁:《行踪轨迹信息的法律属性考察与规则适用》,载《科技与法律(中英文)》2023年第4期,第53-62页。
[85]杨志琼:《搜索引擎处理个人信息的法律风险及其应对》,载《法学论坛》2023年第6期,第53-62页。
[86]李晗:《区块链智能合约中个人信息安全的法律保护》,载《华东政法大学学报》2023年第4期,第49-58页。
[87]尹彦品:《疫情防控常态化中个人信息保护与公共利益的冲突和平衡》,载《河北法学》2023年第3期,第121-134页。
[88]张耀文:《比例原则在雇员个人信息保护中的构造及适用》,载《交大法学》2023年第6期,第158-172页。
[89]钭晓东:《风险与控制:论生成式人工智能应用的个人信息保护》,载《政法论丛》2023年第4期,第59-68页。
[90]王磊:《平台视角下的个人信息保护责任边界研究》,载《法律适用》2023年第2期,第25-35页。
[91]丁晓东:《隐私权保护与个人信息保护关系的法理——兼论<民法典>与<个人信息保护法>的适用》,载《法商研究》2023年第6期,第61-74页。
[92]杨钢:《个人信息权禁令的理论证成与构造》,载《法律适用》2023年第3期,第94-108页。
[93]卢成:《数字时代运动员个人信息保护的国际法规制研究》,载《中国政法大学学报》2023年第4期,第159-172页。
[94]江海洋:《论数字时代个人信息的刑法保护路径选择》,载《当代法学》2023年第5期,第88-99页。
[95]马改然:《新信息技术对刑法个人信息保护的挑战与破解路径》,载《中国政法大学学报》2023年第3期,第245-261页。
[964]彭辅顺:《非法使用公民个人信息行为的刑法规制》,载《中国刑事法杂志》2023年第1期,第107-124页。
[97]卢勤忠、张宜培:《非法使用个人信息行为入刑的立法构思》,载《河北法学》2023年第1期,第73-96页。
[98]张忆然:《滥用已公开个人信息行为的刑法规制》,载《中国刑事法杂志》2023年第6期,第87-103页。
[99]康子豪:《合理使用已公开个人信息作为出罪事由的规则适用》,载《苏州大学学报(法学版)》2023年第1期,第40-53页。
[100]阮晨欣:《个人信息被遗忘权的刑法保护规则研究》,载《法学杂志》2023年第6期,第121-135页。
[101]郑泽星:《论侵犯公民个人信息罪的保护法益——场景化法益观的理论构造与实践立场》,载《清华法学》2023年第3期,第90-105页。
[101]黄陈辰:《侵犯公民个人信息罪中“公民个人信息”可识别性的意蕴重释》,载《中国政法大学学报》2023年第4期,第111-127页。
[102]杨楠:《侵犯公民个人信息罪“为合法经营”的释义学展开》,载《法学家》2023年第3期,第105-117+193-194页。
[105]卞建林、钱程:《刑事诉讼法与个人信息保护法的衔接》,载《国家检察官学院学报》2023年第6期,第142-156页。
[107]刘笋、佘佳亮:《美欧个人信息保护的国际造法竞争:现状、冲突与启示》,载《河北法学》2023年第1期,第97-119页。
[108]陈可翔:《个人信息保护中行政处罚的实施基础及制度逻辑》,载《法学》2023年第11期,第57-72页。
[109]彭錞:《论国家机关的个人信息保护法律责任——以<个人信息保护法>第68条为切入点》,载《比较法研究》2023年第2期,第31-43页。
[110]钱进:《个人信息侵权的规范构造》,载《中国政法大学学报》2023年第5期,第186-201页。
[111]朱晓峰:《个人信息侵权责任构成要件研究》,载《比较法研究》2023年第4期,第132-149页。
[112]林洹民:《问责原则与安全原则下的个人信息泄露侵权认定》,载《法学》2023年第4期,第104-117页。
[113]钱进:《个人信息侵权的规范构造》,载《中国政法大学学报》2023年第5期,第186-201页。
[114]朱晓峰:《个人信息侵权责任构成要件研究》,载《比较法研究》2023年第4期,第132-149页。
[115]朱晓峰:《个人信息侵权责任认定中的过错》,载《国家检察官学院学报》2023年第4期,第129-143页。
[116]王思思:《个人信息权益侵害案件的归责思路辨析——从<个人信息保护法>第69条第1款展开》,载《法律适用》2023年第10期,第168-177页。
[117]洪国盛:《论<个人信息保护法>第69条的适用——以所获利益的损害赔偿与事实因果关系证明为核心》,载《法律适用》2023年第9期,第55-65页。
[118]钱进:《个人信息侵权的规范构造》,载《中国政法大学学报》2023年第5期,第186-201页。
[119]王雪:“个人信息泄露的风险性损害之证成”,载《南大法学》2023年第3期,第172-192页。
[120]张博文:《论个人信息泄露下游侵害风险的损害赔偿》,载《南大法学》2023年第6期,第137-152页。
[121]钱进:《个人信息侵权的规范构造》,载《中国政法大学学报》2023年第5期,第186-201页。
[122]朱晓峰:《个人信息侵权责任构成要件研究》,载《比较法研究》2023年第4期,第132-149页。
[123]洪国盛:《论<个人信息保护法>第69条的适用——以所获利益的损害赔偿与事实因果关系证明为核心》,载《法律适用》2023年第9期,第55-65页。
[124]张博文:《论个人信息泄露下游侵害风险的损害赔偿》,载《南大法学》2023年第6期,第137-152页。
[125]李东宇:《论侵害个人信息权益的精神损害赔偿》,载《财经法学》2023年第4期,第134-148页。
[126]龙松熊:《论侵害个人信息权益的损害赔偿》,载《中国海商法研究》2023年第4期,第74-84页。
[127]王思思:《个人信息权益侵害案件的归责思路辨析——从<个人信息保护法>第69条第1款展开》,载《法律适用》2023年第10期,第168-177页。
[128]吴泽勇:《个人信息泄露侵权的证明责任问题——以不明第三人侵权为中心》,载《地方立法研究》2023年第4期,第1-18页。
[129]洪国盛:《论<个人信息保护法>第69条的适用——以所获利益的损害赔偿与事实因果关系证明为核心》,载《法律适用》2023年第9期,第55-65页。
[130]林洹民:《问责原则与安全原则下的个人信息泄露侵权认定》,载《法学》2023年第4期,第104-117页。
[131]许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。
[132]欧元捷:《公益治理体系下的个人信息保护公益诉讼》,载《法律适用》2023年第12期,第57-64页。
[133]许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。
[134]欧元捷:《公益治理体系下的个人信息保护公益诉讼》,载《法律适用》2023年第12期,第57-64页。
[135]许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。
[136]兰楠:《个人信息保护法中的社会公共利益》,载《国家检察官学院学报》2023年第1期,第156-176页。
[137]欧元捷:《公益治理体系下的个人信息保护公益诉讼》,载《法律适用》2023年第12期,第57-64页。
[138]许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。
[139]傅贤国:《论个人信息保护民事公益诉讼之起诉主体——兼论<个人信息保护法>第70条之不足及完善》,载《河北法学》2023年第2期,第47-63页。
[140]欧元捷:《公益治理体系下的个人信息保护公益诉讼》,载《法律适用》2023年第12期,第57-64页。
[141]许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。
[142]傅贤国:《论个人信息保护民事公益诉讼之起诉主体——兼论<个人信息保护法>第70条之不足及完善》,载《河北法学》2023年第2期,第47-63页。
[143]许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。